1 项目概况

1.1 项目背景

在信息技术不断发展的推动下，制造企业的生产管理理念和技术也在不断发展，工业自动化领域发展到今天，已经进入了第四代，新一代控制系统的一个突出特点就是开放性的提高。当前企业普遍开始采用基于ERP/SCM、MES和PCS三层架构的管控一体化信息模型思想，随着两化融合政策的推进，越来越多的企业实施MES系统，使得管理实现了管控一体化。

制造业是工业自动化控制系统普及度较高的行业之一，同时也是对工业控制系统（ICS）的稳定性和控制策略复杂性要求较高的行业。工业控制系统一旦出现故障，不仅会导致巨大的经济损失和能源安全冲击，还会造成人身安全影响。因此生产控制层的网络安全受重视程度最高。

1.2 项目简介

广灵金隅水泥有限公司是一个典型的新型制造业企业，其在生产技术应用层面采用DCS控制系统进行生产自动化控制，采用APC高级过程控制系统进行生产过程控制，在生产管理应用层面采用EMS能源管理系统进行能效分析，与生产调度系统进行信息传递并实现了企业生产的管控一体化。

在了解工业控制领域面临的安全威胁，以及已报道的层出不穷的安全事件影响下，广灵金隅水泥有限公司计划在生产控制系统安全保障方面投入一定的资金和技术，以保障企业生产安全。

1.3 项目目标

广灵金隅水泥有限公司工业控制网络安全防护体系设计与应用的总体目标是完善生产控制系统网络安全体系框架，从整体上提升工业控制网络安全体系水平和企业核心竞争能力，从网络层面保障企业生产运行安全。

本项目通过构建纵深防御体系，能够实现以下具体安全防护功能：

（1）区域隔离

采用技术策略实现两个区域网络间的通信过滤。假如某一区域内部发生网络故障，将被控制在最初发生的区域内，而不会影响到其它与之隔离的区域。

（2）深度检查

面向应用层对特有的工业通讯协议进行内容深度检查，告别病毒库升级缺陷。

（3）主机加固

对主机应用安全防护策略，实现主机安全加固，抵御主机自身存在的和外界带来的安全威胁。

（4）行为审计

对网络运行日志、操作系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

2 项目实施

2.1 网络分层与行为基线分析

广灵金隅水泥生产网络依照IEC 62443进行层级划分，整个生产网络分为L0~L4四个层级，依照生产业务场景和业务流程，基于行为基线对企业生产网络层级分析如图1所示。

图1 企业生产网络层级分析

（1）L0层行为基线

L0层传感器数据通过4~20mA硬接线接入车间PLC中AI模块，部分信号以数字量接入DI模块，同时PLC对继电器等控制设备通过DO模块进行控制。

在动力侧，互感器将信号直接以4~20mA硬接线接入综保或利用二次表通过RS485链路以DLT645协议接入综保。

生产侧与动力侧均为双向链路，即数据读写。

（2）L1层行为基线

生产侧PLC通过自定义协议或其自身协议，以总线方式将生产处理数据输出至DCS系统。

动力侧综保、继保、微保将数据以总线方式，通过IEC 103或自定义协议输出至动力DCS。

工程师站通过调库的方式，将DCS数据采集至其I/O节点，并转储于本地DB作为数据存储、分析的基础。

上述过程均为读写双向。

（3）L2层行为基线

工程师站通过SCADA自身Net Server将其View及DB映射至操作员站。对于生产侧工程师站，其OPC Server与DB处于非同一主机，需要将DB内容映射至OPC Server。上述过程均为读写双向流量。

APC系统对生产过程进行优化，通过对工程师站内容进行读取并修正执行，该过程同样为读写双向。

生产部分DCS通过OPC服务器将数据输出至数采网闸，同理，动力部分DCS通过工程师站本地OPCServer与数采网闸进行通讯。考虑到数采的目的是收集部分数据，对EMS系统提供有效的数据分析基础，故改部分通讯属性为只读。

（4）L3层行为基线

数采网闸的数据通过自定义协议输出至DB，EMS系统以DB数据为基础进行分析，并对L4层查询提供数据基础。该部分均为只读属性。

2.2 安全设计思路

整体安全设计基于行为基线分析结果，参照“白名单”环境进行设定。方案基于目前制造企业中存在的安全风险及脆弱性，结合其业务特点，依据政策标准，针对生产控制网络从不同的安全防护点入手，结合“白名单”技术手段，采用主动免疫系统防御机制，提供基于业务模型和关键应用执行程序的可信体系，阻止非授权及不符合预期的网络访问或执行程序运行，实现对生产网络互联边界安全、主机安全、行为操作安全等主动安全防御，降低生产网络系统完整性及可用性被破坏的可能，为生产系统网络打造一套安全闭环纵深防御体系。

2.3 整体安全解决方案

该企业工业控制网络安全防护整体解决方案如图2所示。

图2 工业控制网络安全防护整体解决方案

安全设备清单及说明如表1所示。

表1 安全设备清单及说明

3 案例亮点

（1）提升生产网络抗攻击能力

工业控制网络安全防护体系的建设使系统网络能够有效防护内部和外部网络恶意代码、病毒木马、ATP等攻击，将安全风险降低到可控范围内，减少安全事件的发生，保护综合监控网络高效、稳定运行，减少系统停机带来的系统运行损失。

（2）增强生产网络安全管理能力

通过工业网络安全防护体系的建设，将生产网络进行安全域划分，方便用户以安全域为最小管理单元进行安全策略制定、安全检查等安全管理，增强生产控制系统的信息安全管理能力。

（3）实现生产环境实时安全监测

应用安全监测审计技术，对网络行为进行监测，对策略外的协议进行报警，对外来访问流量进行回溯，以便用户对已发生安全事件进行追踪溯源，并分析判断安全事件的起因，为事件应急处置和事件处理提供依据。

（4）构建脆弱性检查评估能力

应用脆弱性检测评估工具，实现工业生产环境下的安全漏洞和脆弱性检查，对现有工业控制系统和新增工控设备进行脆弱性检测，确保用户对生产控制系统的安全性进行管控。

（5）有效节约安全投入成本

采用“白名单”设计理念，屏蔽生产网中非生产流量，同时针对已知漏洞利用攻击、0day攻击等形成有效防范措施，降低在“黑名单”体系下不同类型设备的部署数量，有效节约成本。